Skip To Content

Ograniczanie protokołów TLS i pakietów szyfrujących

ArcGIS 11.4 (Windows)  | |  Archiwum systemu pomocy

Jako administrator instytucji możesz zdefiniować protokoły TLS (Transport Layer Security) i algorytmy szyfrowania, które są używane przez wewnętrzny serwer internetowy portalu w celu zabezpieczenia komunikacji. Instytucja może wymagać użycia konkretnych protokołów TLS i algorytmów szyfrowania. Zdefiniowanie użycia przez portal certyfikowanych protokołów i algorytmów zapewnia zgodność portalu z zasadami zabezpieczeń instytucji.

Domyślne protokoły TLS

Domyślnie portal jest skonfigurowany do użycia protokołów TLSv1.3 i TLSv1.2. Można również włączyć protokoły TLSv1 i TLSv1.1, wykonując poniższe czynności.

Korzystanie z domyślnych algorytmów szyfrowania

Portal jest domyślnie skonfigurowany do użycia następujących algorytmów szyfrowania w kolejności podanej poniżej:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_AES_256_GCM_SHA384 (tylko TLSv1.3)
  • TLS_AES_128_GCM_SHA256 (tylko TLSv1.3)

Ze względów bezpieczeństwa kilka algorytmów szyfrowania, które były domyślnie włączone w poprzednich wersjach, zostało wyłączonych. Można je włączyć, jeśli jest to wymagane przez starsze aplikacje klienckie. Poniższa sekcja Informacje o pakietach szyfrujących zawiera pełną listę obsługiwanych algorytmów.

W celu zdefiniowania protokołów TLS i algorytmów szyfrowania, które są używane przez portal, należy skorzystać z aplikacji Portal Administrator Directory.

  1. Otwórz aplikację Portal Administrator Directory i zaloguj się jako administrator instytucji.

    Adres URL ma format https://webadaptorhost.example.com/webadaptorname/portaladmin.

  2. Kliknij opcję Zabezpieczenia > Certyfikaty SSL > Aktualizuj.
  3. W polu tekstowym Protokoły SSL podaj protokoły, które mają być używane. Jeśli podajesz wiele protokołów, rozdziel je przecinkami, na przykład TLSv1.2, TLSv1.1.
    Notatka:

    Upewnij się, że serwer internetowy, który hostuje aplikację Web Adaptor, został skonfigurowany do użycia włączanych protokołów.

  4. W polu tekstowym Zestawy szyfrów określ zestawy szyfrów, które mają być używane w formacie IANA. Oddziel każdy algorytm przecinkiem, na przykład TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA.
  5. Kliknij przycisk Update (Aktualizuj).

    Jeśli podasz nieprawidłowy protokół lub pakiet szyfrujący, zostanie zwrócony błąd.

Informacje o pakietach szyfrujących

Portal obsługuje następujące algorytmy:

Identyfikator pakietu szyfrującegoNazwa (format IANA)Nazwa (format OpenSSL)Wymiana kluczyAlgorytm uwierzytelnianiaAlgorytm szyfrowaniaBityAlgorytm tworzenia skrótów
0xC030TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384ECDHRSAAES_256_GCM256SHA384
0xC028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDHE-RSA-AES256-SHA384ECDHRSA AES_256_CBC256 SHA384
0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDHE-RSA-AES256-SHA ECDHRSA AES_256_CBC256SHA
0x009F TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 DHE-RSA-AES256-GCM-SHA384 DHRSA AES_256_GCM256 SHA384
0x006B TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 DHE-RSA-AES256-SHA256DHRSA AES_256_CBC256 SHA256
0x0039 TLS_DHE_RSA_WITH_AES_256_CBC_SHA DHE-RSA-AES256-SHADHRSA AES_256_CBC256SHA
0x009D TLS_RSA_WITH_AES_256_GCM_SHA384 AES256-GCM-SHA384RSARSA AES_256_GCM256 SHA384
0x003D TLS_RSA_WITH_AES_256_CBC_SHA256 AES256-SHA256RSARSA AES_256_CBC256SHA256
0x0035 TLS_RSA_WITH_AES_256_CBC_SHA AES256-SHARSARSA AES_256_CBC256SHA
0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHRSA AES_128_GCM128SHA256
0xC027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDHE-RSA-AES128-SHA256 ECDHRSA AES_128_CBC128SHA256
0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDHE-RSA-AES128-SHAECDHRSA AES_128_CBC128SHA
0x009E TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 DHE-RSA-AES128-GCM-SHA256DHRSA AES_128_GCM128SHA256
0x0067 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 DHE-RSA-AES128-SHA256DHRSA AES_128_CBC128SHA256
0x0033 TLS_DHE_RSA_WITH_AES_128_CBC_SHA DHE-RSA-AES128-SHADHRSA AES_128_CBC128SHA
0x009C TLS_RSA_WITH_AES_128_GCM_SHA256 AES128-GCM-SHA256RSARSA AES_128_GCM128SHA256
0x003C TLS_RSA_WITH_AES_128_CBC_SHA256 AES128-SHA256RSARSA AES_128_CBC128SHA256
0x002F TLS_RSA_WITH_AES_128_CBC_SHA AES128-SHARSARSA AES_128_CBC128SHA
0xC012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA ECDHE-RSA-DES-CBC3-SHA ECDHRSA 3DES_EDE_CBC168SHA
0x0016 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA EDH-RSA-DES-CBC3-SHADHRSA 3DES_EDE_CBC168SHA
0x000A SSL_RSA_WITH_3DES_EDE_CBC_SHA DES-CBC3-SHARSARSA 3DES_EDE_CBC168SHA
0xC02CTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 ECDHE-ECDSA-AES256-GCM-SHA384ECDHECDSAAES_256_GCM256SHA384
0xC024TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 ECDHE-ECDSA-AES256-SHA384ECDHECDSAAES_256_CBC256SHA384
0xC00ATLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDHE-ECDSA-AES256-SHAECDHECDSAAES_256_CBC256SHA
0xC02BTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 ECDHE-ECDSA-AES128-GCM-SHA256ECDHECDSAAES_128_GCM128SHA256
0xC023TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 ECDHE-ECDSA-AES128-SHA256ECDHECDSAAES_128_CBC128SHA256
0xC009TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA ECDHE-ECDSA-AES128-SHAECDHECDSAAES_128_CBC128SHA
0xC008TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA ECDHE-ECDSA-DES-CBC3-SHAECDHECDSA3DES_EDE_CBC168SHA
0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 ECDHE-RSA-CHACHA20-POLY1305 ECDH RSA CHACHA20 POLY1305 256 SHA256
0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 ECDHE-ECDSA-CHACHA20-POLY1305 ECDH ECDSA CHACHA20 POLY1305 256 SHA256
0x1301 TLS_AES_128_GCM_SHA256 (TLSv1.3 only) TLS_AES_128_GCM_SHA256-- AES_128_GCM128SHA256
0x1302 TLS_AES_256_GCM_SHA384 (TLSv1.3 only) TLS_AES_256_GCM_SHA384-- AES_256_GCM256SHA384
0x1303 TLS_CHACHA20_POLY1305_SHA256 (TLSv1.3 only) TLS_CHACHA20_POLY1305_SHA256-- CHACHA20 POLY1305 256 SHA256

Terminologia

W poniższej tabeli stosowane są następujące terminy:

  • ECDH — krzywa eliptyczna Diffiego-Hellmana
  • DH — algorytm Diffiego-Hellmana
  • RSA — algorytm Rivesta-Shamira-Adlemana
  • ECDSA — algorytm podpisu cyfrowego przy użyciu krzywej eliptycznej
  • AES — Advanced Encryption Standard
  • GCM — tryb Galois/Counter Mode, tryb pracy dla szyfrów bloków kryptograficznych
  • CBC — wiązanie bloków zaszyfrowanych
  • 3DES — algorytm Triple Data Encryption (3DES)
  • SHA — Secure Hashing Algorithm
  • CHACHA20 — szyfr strumieniowy ChaCha
  • POLY1305 — aplikacja uwierzytelniająca Poly1305